beplay体育app下载/欧国联含金量高吗/辽宁篮球直播/福彩快乐8走势图一定牛

 
捕獲時(shí)間

2008-09-22

病毒摘要

該樣本是使用“Delphi”編寫(xiě)的“后門(mén)程序”，由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲，長(zhǎng)度為“75,856 字節(jié)”，圖標(biāo)為，使用“ exe”擴(kuò)展名，此樣本通過(guò)和“微軟GDI 圖片漏洞360專(zhuān)用補(bǔ)丁包檢測(cè)器”相捆綁依此誘騙用戶(hù)點(diǎn)擊運(yùn)行，病毒被當(dāng)作入侵系統(tǒng)的后門(mén)使用。


感染對(duì)象

Windows 2000/Windows XP/Windows 2003

傳播途徑

網(wǎng)頁(yè)木馬、文件捆綁

防范措施

已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶(hù)，無(wú)須任何設(shè)置，微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無(wú)論您是否已經(jīng)升級(jí)到最新版本，微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒(méi)有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版，微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知間諜軟件”，請(qǐng)直接選擇刪除處理（如圖1）；

圖1 主動(dòng)防御自動(dòng)捕獲未知病毒（未升級(jí)）

如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本，微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)" Backdoor.Win32.Agent.kcc”，請(qǐng)直接選擇刪除（如圖2）。

 圖2   升級(jí)后截獲已知病毒
　 

對(duì)于未使用微點(diǎn)主動(dòng)防御軟件的用戶(hù)，微點(diǎn)反病毒專(zhuān)家建議：
1、不要在不明站點(diǎn)下載非官方版本的軟件進(jìn)行安裝，避免病毒通過(guò)捆綁的方式進(jìn)入您的系統(tǒng)。
2、盡快將您的殺毒軟件特征庫(kù)升級(jí)到最新版本進(jìn)行查殺，并開(kāi)啟防火墻攔截網(wǎng)絡(luò)異常訪問(wèn)，如依然有異常情況請(qǐng)注意及時(shí)與專(zhuān)業(yè)的安全軟件廠商聯(lián)系獲取技術(shù)支持。
3、開(kāi)啟windows自動(dòng)更新，及時(shí)打好漏洞補(bǔ)丁。

病毒分析

該樣本程序被執(zhí)行后，拷貝自身到%SystemRoot%\web\目錄下重命名為wallpaper.pif，修改屬性為“系統(tǒng)”、“隱藏”；使用API函數(shù)CreateProcessA以掛起方式啟動(dòng)“tasklist.exe”，申請(qǐng)空間將自身代碼寫(xiě)入，之后喚醒線程執(zhí)行剛寫(xiě)入的病毒代碼；修改如下注冊(cè)表實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)；病毒使用命令行執(zhí)行自刪除。

病毒主程序運(yùn)行后，取環(huán)境變量%ProgramFiles%獲取IE安裝路徑，找到后創(chuàng)建“iexplore.exe”進(jìn)程，讀取后門(mén)種植者所設(shè)置的IP地址和端口號(hào)進(jìn)行反向連接，連接成功后開(kāi)啟多個(gè)線程與黑客進(jìn)行通訊，接受黑客指令，進(jìn)行遠(yuǎn)程關(guān)機(jī)、嗅探用戶(hù)郵箱帳戶(hù)密碼、上傳下載諸多功能，并從指定網(wǎng)址下載木馬1.exe和2.exe至本地執(zhí)行，使被病毒感染主機(jī)倫為傀儡主機(jī)。